►作者:京师上海律所企业内控与反舞弊研究中心
胡晨阳、李菊
企业内控与反舞弊研究中心致力于发挥专业优势,为企业保驾护航,以认真、负责、专业、专注的工作态度维护企业合法权益,降低企业内耗,挽回企业隐形损失,帮助企业实现合法利益最大化。
随着云计算、大数据、人工智能等信息通信技术的快速发展和应用普及,计算机在信息处理中显示了强大的威力,它加快了信息的处理速度,提高了企业工作效率,减轻了企业负担。另一方面,不断涌现的网络安全问题也从未停止,计算机舞弊案件已屡屡发生,并呈现逐步上升之态势。本文将从一起典型的华为员工非法获取计算机信息系统数据案例出发,围绕在企业计算机舞弊领域比较高发的舞弊罪名认定、舞弊行为特点、调查建议等几方面进行阐述,以期帮助企业更好地应对及处置计算机类舞弊案件。
一、华为员工非法获取计算机数据案
易某因工作需要拥有登录华为公司企业资源计划(ERP)系统的权限,可以查看工作范围内相关数据信息。2010年12月,易某从华为公司线缆物控部调任后,未按华为公司的要求将ERP账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。2017年以后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商),从而帮助金信诺公司在华为公司的招标项目中提高中标率。经查,易某在2016年12月27日至2018年2月28日期间,多次通过邮箱将华为公司多个供应商共1183个(剔除重复部分共918个)线缆类编码物料的采购价格发送给金信诺公司。经查,易某在2012年至2017年6月30日期间,收受金信诺公司购物卡共计7000元、篮球鞋5双(价值共计人民币16437.6元)。
华为易某的案件引起了不小的轰动,虽然涉案金额不大,但易某违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。一审法院判处易某有期徒刑一年,并处罚金人民币二万元。
所谓计算机类舞弊,是指在信息活动领域中,利用计算机信息系统或计算机信息知识作为手段,或者针对计算机信息系统制造破坏的行为。实践中,像上述华为员工利用职务便利非法获取企业数据的案例不胜枚举,企业计算机舞弊领域比较高发舞弊犯罪涉及到两个罪名:破坏计算机信息系统罪、非法获取计算机信息系统数据罪。笔者将进一步从罪名认定、行为特点、调查建议等几方面展开论述。
二、罪名认定
1. 非法获取计算机信息系统数据罪(刑法第285条)
非法获取计算机信息系统数据的行为,是指行为人以非法手段侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的系统或采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重或情节特别严重的行为。构成本罪需要有两点,一是行为人实施了非法获取他人计算机信息系统中存储、处理或者传输的数据的行为;二是行为人非法获取他人计算机信息系统中的数据,是基于“侵入或者其他技术手段”。
另外,两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条对该罪中“情节严重”、“情节特别严重”做了具体规定:
在大量的实务案例中,非法获取计算机信息系统数据具体表现为:舞弊主体利用职务便利、超出授权范围使用公司账号、密码、Token令牌等登录公司的信息管理系统,并未经许可下载存储数据,该行为根据我国《刑法》及相关司法解释被认定为非法获取计算机信息系统数据舞弊。正如华为员工案件,易某违反规定多次通过越权查询、借用同事账号登录的方式获取计算机信息系统中存储、处理或者传输的数据,基于“侵入或其他技术手段”实施了非法获取行为,且达到情节严重的标准,符合该罪的犯罪构成要件。
4. 破坏计算机信息系统罪(刑法286条)
破坏计算机信息系统的行为,通常是指行为人非法对计算机信息系统功能或信息系统中的数据进行删除、修改、增加等操作,后果严重或特别严重的行为;也表现为行为人故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。
根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条对该罪中“后果严重”、“后果特别严重”规定如下:
实践中,舞弊人员破坏计算机信息系统的作案手段通常为:
(1)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
案例一:【2022京01刑终140号】百度一95后员工金某因删改公司数据库获刑。该员工在任职百度期间,因对工作变动不满,私自进入公司数据库,对其中数据进行删改。金某篡改数据除对项目交付时效和交付质量带来影响,也影响了百度商业平台用户使用体验,严重损害公司利益及影响公司形象。此外,平台数据被破坏后,百度公司为恢复数据及功能,支付北京中海义信信息技术有限公司司法鉴定所人民币16300元。据北京市海淀区人民法院判决,该员工犯破坏计算机信息系统罪,判处有期徒刑九个月,缓刑一年。该员工不服判决上诉,北京市第一中级人民法院终审维持原判不变。
案例二:【2020京01刑终490号】链家前员工韩某利用其担任链家公司数据库管理员并掌握公司财务系统root权限的便利,登录公司财务系统服务器删除了财务数据及相关应用程序,致使公司财务系统无法登录。链家公司为恢复数据及重新构建财务系统共计花费人民币18万元。韩某对计算机信息系统中存储的数据和应用程序进行删除,造成计算机信息系统不能正常运行,后果特别严重,构成破坏计算机信息系统罪,被判7年。
(2)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络;
案例:【检指导案例第69号】2017年初,姚某等人招募多名网络技术人员,在境外成立“暗夜小组”黑客组织,利用木马软件操控控制端服务器对某互联网游戏公司实施网络攻击,该攻击导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题。为恢复云服务器的正常运营,某互联网公司组织人员对服务器进行了抢修并为此支付4万余元。2018年6月8日,广东省深圳市南山区人民法院判决认定被告人姚某等11人犯破坏计算机信息系统罪,对11名被告人分别判处有期徒刑一年至二年不等。
(3)未经允许,对计算机信息网络功能进行删除、修改或者增加;
(4)通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的“DNS劫持”;
案例:【最高法指导案例第102号】付某某、黄某某破坏计算机信息系统案】中,通过DNS域名解析服务,修改域名解析,使对特定域名的访问由原IP地址转入到篡改后的指定IP地址,导致用户无法访问原IP地址对应的网站或者访问虚假网站,从而实现窃取资料或者破坏网站原有正常服务的目的。
三、计算机类舞弊犯罪特点
计算机类舞弊犯罪被视为一种新型的犯罪类型,主要具备以下特征:
1. 舞弊人员具有一定隐蔽性
计算机舞弊主体通常具有高超的技术手段,计算机舞弊特别是侵入信息数据库的舞弊,网络知识、专业水准要求相当高,因为这些数据库有严密的防范屏障,有很难破解的密。因此,区别于传统型舞弊犯罪,计算机类犯罪的行为人大多具备较高的学历与知识技能,受过一定技术培训、通晓计算机网络知识,再加上计算机犯罪手段本身的隐蔽性和非暴力性,舞弊人员在大众眼中通常是受过良好教育、具备良好社会地位的白领形象,因而具有欺骗性。
计算机舞弊主体之所以能够成功地、在较短时间内实施舞弊行为,与他们思维的敏捷、灵活、经常能够创造性地解决问题有密切的关系。洞悉网络缺陷和漏洞,借助专业知识和工具能够攻破或者绕过系统的防火墙完成舞弊行为,对网络系统及数据信息发动攻击破坏,在行为结束后的一段时间内受害单位不能马上知晓。
2. 舞弊行为便于实施且难于发现
由于计算机犯罪通常不受时间地点的限制,犯罪行为的实施地和犯罪结果地可以是分离的,犯罪的实施手段往往是行为人通过计算机系统单独实施,犯罪现场数字化,很少有目击者作为证人,作案痕迹也可被轻易销毁,因此发现和侦查都需要一定技术手段。
3. 犯罪动机持获利和探秘动机居多
据统计,金融系统的计算机犯罪占计算机犯罪总数的60%以上。计算机类舞弊犯罪的动机往往表现在利益驱动及刺探秘密。企业的商业秘密、安全信息等都成为计算机犯罪的攻击对象。
4. 舞弊后果危害性大
由于网络应用广泛,涉及国家安全、社会生产生活等各个领域,在方便社会的同时也大大增加了计算机犯罪的危害程度,和其他犯罪类型相比,计算机犯罪往往给企业带来的经济损失巨大,且伴随企业网络安全、信息安全、技术安全多维度的风险隐患。
计算机舞弊的传播速度快,且手段隐蔽多样,因此其行为后果难以预测评估,比如:木马程序的入侵使某台计算机系统功能被破坏,但同时由该计算机输出的所有文件信息都将携带木马,这些携带木马的文件再进行传播,是一个急剧扩散的数值,造成的损失难以预估,但损害危害性极大。
另外,被损害后的计算机信息系统面临数据、功能修复无法还原的损害后果问题,会给企业造成持续的损害。
四、企业对于计算机类舞弊案件的调查建议
虽然计算机类舞弊案件存在极大的隐蔽性、取证难度大等问题,但企业经营管理中一旦遭遇非法获取计算机数据或破坏计算机系统的舞弊行为,带来的后果往往是灾难性的。因此,若能做好对计算机类舞弊行为的重视,注意电子取证要点,不仅可以为舞弊人员所涉及的职务侵占、侵犯商业秘密等典型舞弊行为定罪提供强有力的证据支撑,也对计算机领域内舞弊犯罪行为有一定的应对处理思路。笔者认为,企业在调查中可采取以下调查方法:
1. 现场勘验检查
在舞弊现场实施勘验,以提取、固定现场存留的与舞弊有关的电子数据和其他相关证据。
(1)计算机信息系统的网络资源信息,包括IP地址、域名、IDC服务商、管理资源(远程管理服务器的方式)等。
(2)计算机信息系统的安全防护情况,包括公开访问、防火墙、安防设备及安全配置策略,服务器各类日志记录策略。
(3)计算机信息系统的主要功能,有无删减公开在互联网上的服务。
例如:可以通过调取被侵入的计算机信息系统的控制端程序、相关数据,审查舞弊嫌疑人实施侵入行为时设备、程序、工具的使用情况、非法获取的计算机信息系统数据情况,结合在案其他证据综合认定非法获取数据行为。
2. 访问访谈
(1)被非法入侵后计算机信息系统有何异常情况,包括:添加了高权限用户、运行速度变慢、网络访问延迟甚至无法访问等情况;
(2)在发现计算机信息系统被入侵后,有无痕迹的留存,都有哪些痕迹留存;
(3)计算机信息系统的数据是否发生了变化,获取、删除、修改数据的基本信息;
(4)IDC服务商的技术维护人员发现的异常情况及能够提供的入侵痕迹;
(5)受害单位在非法入侵后或一段时间内计算机信息系统的异常反应。
3. 远程勘验
通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。
例如:远程登录被入侵的服务器系统,提取与入侵行为相关的电子数据。
4. 电子数据检查
检查已经扣押、封存、固定的电子数据,以发现和提取与案件相关的线索和证据。对服务器、电脑主机、硬盘、手机、闪存、光盘、计算机信息系统、涉案程序、工具、网站运行机制的全面审查。
由于计算机舞弊的特殊性,计算机舞弊案件关键在于提取计算机舞弊主体遗留的电子数据。而电子数据具有易删除、易篡改、易丢失等特性为确保电子数据的原始性、真实性、合法性,在电子数据的收集时应采用专业的数据复制备份设备将电子数据文件进行备份。
5. 专家意见
(1)非法入侵计算机信息系统使用的工具(软件)功能性鉴定;
(2)电子数据相关鉴定意见;
6. 注意事项
(1)计算机舞弊的调查应当以事实为依据,防止主观臆断,严禁弄虚作假;现场勘验检查,应当安排不得少于二人,至少安排一名或两名与案件无关的人员作为见证人;
(2)对所采集的证据做好归类统计,重点是个人身份认证信息、可疑程序、文件等;
(3)若涉案系统或计算机被破坏的,应当及时对所造成的直接经济损失以及用户为恢复数据、功能而支出的费用做好统计;
(4)计算机舞弊证据不是普通证据,易销毁,要特别注意证据的保全,可以同时复制多份进行保存。
结语
随着信息时代的到来,计算机技术已经应用到各个领域,承担着信息数据共享、交换、存储、统计等重要功能,深度融入企业发展和经营的各个环节,而计算机类型的舞弊案件呈现日益上升的趋势。对于企业而言,全面认识并厘清计算机舞弊案件的核心要素并在反舞弊调查中有效识别并合理运用调查手段具有重要的实践意义。企业不仅要从制度建设上加强对计算机系统及数据的管控,及时堵上管理漏洞,一旦发生计算机类舞弊案件,更要听取专业建议,帮采取合法有效的调查手段尽早采集与固定证据,最大限度地减少企业损失,保障企业网络信息安全。
作者简介
胡晨阳
北京市京师 (上海)律师事务所管委会主任、刑事案件专业指导委员会主任、企业内控与反舞弊研究中心主任,上海大学法学院兼职教授、对外经济贸易大学法律硕士研究生实践导师,拥有超过10年的刑事侦查工作经验,超过20年的刑事案件执业律师经验。
专业领域:企业合规和反舞弊调查、刑事辩护
李菊
京师上海律所企业内控与反舞弊研究中心副秘书长
专业领域:企业商事争议解决、企业内控与合规性审查